Daniel Rubery
José Luis Zapata
设备绑定会话凭证 (DBSC) 将于 2025 年 10 月开始其第二次源试用。此阶段将测试范围扩大到实际环境,并纳入了首次试验中收到的开发者反馈。源试用计划预计将持续到 2026 年 2 月初。
此源试用版中的新功能
此版本侧重于提高 DBSC 流程的可靠性、一致性和清晰度,同时引入了可提供更灵活集成的新功能。
扩展功能
- 跨网站会话支持:如果您有多个网站共用同一身份验证后端,则可以配置 DBSC 会话以在这些网站之间共享密钥。
- 新的诊断标头:新的
Secure-Session-Skipped标头可说明刷新请求未完成的原因,从而在测试期间提高可观测性。
主要协议和兼容性更新
DBSC 流程包含多项值得注意的技术变更:
- 标题名称更改:大多数标题都以
Secure-Session-前缀开头,而不是Sec-Session。 - 新的 JWT 架构:新的 JWT 架构可提高各种实现方案的一致性和标准化程度。
- HTTP 状态更新:DBSC 在质询流程中使用 403 Forbidden 而不是 401 Unauthorized。
- 次要字段变更:某些参数(例如
include_site)现在是必需参数,而不是可选参数。
如需查看详细的更新列表,请参阅 Chromium 热点列表。另请参阅集成指南。
平台可用性
此源试用版可在搭载可信平台模块 (TPM) 的 Windows 设备上使用。我们将扩大对其他平台的支持。
参与方式
如果您是首次测试 DBSC,请按照测试指南开始手动测试。 开发者工具集成正在进行中,因此调试依赖于 Chrome 直方图和网络日志。
当您的实现准备就绪后,请注册源试用令牌:
将令牌添加到发出 Secure-Session-Registration 标头的网页(通常是登录页面)。您无需在刷新或注册端点上使用令牌。
了解详情
分享您的反馈
我们很高兴看到您采用 DBSC 来保护会话免遭 Cookie 盗用和劫持。在 GitHub 代码库中分享您的体验并报告问题。
通过参与此源试用,您将有助于塑造下一代 Web 会话安全性。